Data retention policy: termini e criteri di conservazione dei dati

06/07/2015
di Leonardo

dirittoinf_10172219_xxlE’ arrivato il momento per ogni azienda di impostare una politica interna in materia di conservazione dei dati. Ogni singola società è in possesso di una grande quantità di informazioni importanti e fondamentali per il funzionamento dell’organizzazione, che coinvolgono anche dati personali, nonché dati sensibili e giudiziari così come definiti dal D.lgs. 196 del 2003 e s.m.i. (Codice Privacy) e pertanto soggetti all’adempimento di particolari soddisfacimenti.

La legge disciplina la raccolta, la conservazione e la trasmissione di informazioni personali, nonché sensibili e giudiziari.

Secondo il Codice privacy, le informazioni devono essere:

  1. lealmente e lecitamente elaborate;
  2. trattate per scopi limitati e specifici;
  3. adeguate, accurate, pertinenti e non eccedenti;
  4. non conservate più a lungo di quanto sia necessario;
  5. trattate nel rispetto dei diritti delle persone interessate;
  6. non trasferite a un Paese o di un territorio al di fuori dell’UE, a meno che il Paese o territorio di destinazione non garantisca un adeguato livello di protezione.

È doveroso pertanto stilare un documento con l’obiettivo di indicare la durata dei periodi di conservazione dei dati personali trattati nello svolgimento delle attività societarie del titolare del trattamento. La società, attraverso la data retention policy, dovrà fornire ai soggetti incaricati ad effettuare le operazioni di trattamento una guida sulla conservazione dei vari tipi di dati che la stessa detiene. In particolare, dovrà bilanciare da un lato la necessità per la medesima società di memorizzare le informazioni per adempiere agli obblighi di legge, nonché ai propri interessi, mentre dall’altro di eliminare i dati in modo sicuro quando non è più necessario conservarli.

La politica sulla conservazione dei dati dovrà concernere tutte le informazioni personali di cui è titolare la società, quindi sia quelle memorizzate e conservate in maniera cartacea, sia quelle detenute in modalità informatica ed elettronica, sia quelle trasmesse per posta, cartacea e/o elettronica, che quelle comunicate oralmente, come tramite contatto telefonico.

Il documento dovrà applicarsi a tutto il personale e comunque a tutti gli utenti eventualmente autorizzati a trattare le informazioni personali di cui la società è titolare, al fine di garantire la continuità aziendale e per evitare violazioni di legge, o statutarie, o regolamentari, o contrattuali applicabili in materia.

Il documento in parola sarà, quindi, utile alla società per impegnare tutti a proteggere i dati attraverso la conservazione in riferimento e secondo i principi di riservatezza, di integrità e di disponibilità richiesti dalla normativa. Più specificatamente, secondo gli artt. 31 ss. del Codice Privacy, ogni Titolare del trattamento deve adottare appropriate misure organizzative e tecniche volte a garantire la sicurezza dei dati personali trattati e la loro protezione anche nei confronti di accessi non autorizzati che possono verificarsi in occasione della dismissione dei menzionati apparati elettrici ed elettronici. La data retention policy, pertanto, deriva proprio da tale incombente.

In particolare, la società è chiamata a decidere in ordine alla distruzione dei supporti cartacei, e quindi dovrà indicare nel documento come gli stessi devono essere eliminati. Nello stesso tempo dovrà conferire precise istruzioni in ordine alla distruzione e/o dismissione e/o riutilizzo di componenti elettrici ed elettronici suscettibili di memorizzare dati personali.

Per tale ultimo argomento, si evidenzia che il Garante per la protezione dei dati personali, con il provvedimento in materia di gestione rifiuti apparecchiature elettriche ed elettroniche in relazione alle misure di sicurezza del 13 ottobre 2008, ha indicato precise misure da adottare in tali occasioni.

In particolare, l’Autorità, distingue le misure da adottare in base all’uso dei supporti di memorizzazione adoperati, ovvero se gli stessi devono essere:

  • reimpiegati o riciclati. In tali casi, il titolare dovrà adottare le seguenti misure:
    • misure tecniche preventive per la memorizzazione sicura dei dati, applicabili a dispositivi elettronici o informatici (Cifratura manuale o automatica di singoli file o gruppi di file);
    • misure tecniche per la cancellazione sicura dei dati, applicabili a dispositivi elettronici o informatici (cancellazione sicura delle informazioni, ottenibile con programmi informatici – quali wiping program o file shredder- , formattazione “a basso livello” dei dispositivi di tipo hard disk (low-level formatting–LLF), demagnetizzazione (degaussing) dei dispositivi di memoria basati su supporti magnetici o magneto-ottici).
  • smaltiti. In tali casi, i supporti devono essere distrutti attraverso uno dei seguenti sistemi:
    • sistemi di punzonatura o deformazione meccanica;
    • distruzione fisica o di disintegrazione (usata per i supporti ottici come i cd-rom e i dvd);
    • demagnetizzazione ad alta intensità.

Pertanto, considerate le suddette misure, la società nella policy dovrà indicare agli incaricati quali delle stesse adoperare.

Con la policy inoltre, la società dovrà indicare le relative responsabilità in caso di mancato rispetto della stessa. Sicuramente tutti i soggetti autorizzati all’accesso ai dati personali, sono responsabili della loro protezione e pertanto il mancato rispetto delle misure può comportare la sospensione o la revoca dell’accesso individuale ai sistemi di informazione societari, a relative procedure disciplinari e, in determinate circostanze, possono essere intraprese opportune azioni legali.

La parte più ardua, tuttavia, rimane la scelta dei termini di conservazione dei singoli dati trattati dalla società e quindi dei relativi documenti che li contengono. Le politiche inerenti i termini di conservazione non sempre sono stabiliti normativamente, al contrario per taluni trattamenti è necessario procedere ad un’attenta verifica che il risultato contemperi l’indubbio interesse aziendale a conservare i dati, con i principi fissati dal Garante Privacy anche rispetto alle finalità di trattamento perseguite.

A tale scopo sarà opportuno per la società mappare i singoli trattamenti effettuati nelle singole aree e direzioni, per poi comprendere dal punto di vista legale, ma anche contrattuale e statutario, la possibilità di mantenere i dati in maniera permanente o procedere alla cancellazione degli stessi secondo termini adeguatamente stabiliti.

Si precisa da ultimo che la policy sulla conservazione dei dati dovrà essere messa a disposizione di tutto il personale attraverso la pubblicazione nella intranet e/o nella bacheca aziendale, o comunque la società, in qualità di titolare del trattamento deve essere in grado di dimostrare l’avvenuta conoscenza delle stesse. Inoltre, naturalmente il documento dovrà essere tenuto aggiornato alla luce di eventuali modifiche agli obblighi di utilizzo legali o contrattuali.

Richiedi maggiori informazioni ai nostri esperti.

[contact-form-7 404 "Not Found"]
Riproduzione riservata ©

ALTRE NEWS

Filesharing: dubbi della Corte di giustizia dell’Ue

Un elemento importante si è aggiunto di recente al dibattito in corso sulla legittimità delle richieste che varie società discografiche e di altri settori stanno… Leggi Tutto

Tlc, data retention, sentenza della Corte di giustizia: dubbi e conseguenze

L’invalidazione della Direttiva 2006/24/CE è ormai un fatto e per quanto manchino ancora le motivazioni della tanto nota sentenza, i suoi effetti cominceranno a manifestarsi… Leggi Tutto

Tecnocontrolli scagionati dal Jobs Act

Grande rivoluzione sul fronte dell’utilizzo degli strumenti di controllo a distanza per i datori di lavoro. Fino a oggi, l’azienda ha avuto pochi strumenti in mano… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Colin Focus Day – GDPR e Compliance Software: la metodologia certificata di Colin & Partners

Appuntamento a Milano il 5 febbraio dalle ore 14.00.

Affronteremo i 5 temi chiave della Compliance di cui tiene ampiamente conto la metodologia certificata e lo schema di analisi di Colin & Partners.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






Utilizzando questo modulo accetti la memorizzazione e la gestione dei tuoi dati da questo sito web.